安全防范xss&csrf

最新推荐文章于 2024-04-14 13:08:27 发布
最新推荐文章于 2024-04-14 13:08:27 发布
阅读量560 收藏
点赞数
分类专栏: vue
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40934617/article/details/118462027
版权

安全防范

在这里插入图片描述

1、xss

XSS即 Cross Site Scripting (跨站脚本攻击),

指的是攻击者想尽一切办法将一些可执行的代码注入到网页中,利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

XSS 可以分为:存储型 XSS (也叫持久型 XSS)、反射型 XSS (也叫非持久型)。

1.1 存储型 XSS

存储型也就是攻击的代码被服务端写入进数据库中

这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。具有攻击性的脚本被保存到了服务器并且可以被普通用户完整的从服务的取得并执行,从而获得了在网络上传播的能力。

1.2 反射型 XSS

一般通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。

这种常见于通过 URL 传递参数的功能,如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击。

二者区别:存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里。

1.3 如何防御

例子

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
    <style>
        .top{
            text-align: center;
            margin-top: 120px;
        }
        .top input{
            width: 400px;
            height: 40px;
            font-size: 20px;
        }
        .top button{
            width: 140px;
            height: 40px;
            font-size: 20px;
        }
        .comment{
            margin-top: 20px;
        }
        .comment div{
            float: left;
            width: 33%;
            border-right: 2px #ccc solid;
            border-left: 2px #ccc solid;
            height: 200px;
        }
    </style>
</head>
<body>
    <div class="top">
        <input type="text"/>
        <button>
            评论
        </button>
    </div>
    <div class="comment">
        <div><ul></ul></div>
        <div><ul></ul></div>
        <div><ul></ul></div>
    </div>
    <script src="./jquery.min.js"></script>
    <script src="./xss.js"></script>
    <script>
        let comment = $('input')[0];
        let list1 = $('ul')[0]
        let list2 = $('ul')[1]
        let list3 = $('ul')[2]
        $('button')[0].onclick = function(){
            console.log(comment.value)
            list1.innerHTML += '<li>'+comment.value+'</li>'
            list2.innerHTML += '<li>'+escape(comment.value)+'</li>'
            list3.innerHTML += '<li>'+filterXSS(comment.value)+'</li>'
        }
        function escape(str){
            str = str.replace(/</g,'&lt;')
            str = str.replace(/>/g,'&gt;')
            str = str.replace(/'/g,'&#36;')
            str = str.replace(/"/g,'&quot;')
            str = str.replace(/\//g,'&#x2f;')
            return str
        }
    </script>
</body>
</html>

  • 黑名单 通过转义进行输入输出过滤

    function escape(str) {
    str = str.replace(/&/g, '&amp;')
    str = str.replace(/</g, '&lt;')
    str = str.replace(/>/g, '&gt;')
    str = str.replace(/"/g, '&quot;')
    str = str.replace(/'/g, '&#39;')
    str = str.replace(/`/g, '&#96;')
    str = str.replace(/\//g, '&#x2F;')
    return str
}

  • 白名单js过滤HTML

    js https://github.com/leizongmin/js-xss/blob/master/dist/xss.js

    使用方法

    <script src="./xss.js"></script>
//使用方法
filterXSS(value)

  • CSP (Content Security Policy,内容安全策略) 白名单

    //通过 HTTP 头信息的Content-Security-Policy的字段 设置允许执行白名单
Content-Security-Policy: default-src https://demo.example.cn https://demo.example2.cn; object-src 'none'

    默认允许读取 https://demo.example.cnhttps://cdn.example2.net 的资源

    前端安全配置CSP

2、CSRF

CSRF:跨站点请求伪造(Cross-Site Request Forgeries),也被称为 one-click attack 或者 session riding。冒充用户发起请求(在用户不知情的情况下), 完成一些违背用户意愿的事情。

在这里插入图片描述

参考:https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html

CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的

CSRF攻击的特点:

  • 通常发生在第三方网站
  • 攻击者不能获取cookie等信息,只是使用

攻击例子
CSRF.vue

<template>
  <div>
    <button @click='login'>登录</button>
    <button @click='zhuanzhang'>转账</button>
    
  </div>
</template>

<script>
export default {
  data() {
    return {};
  },
  methods: {
      login(){
        document.cookie ='token=sdsv;kjskdlksvd3535';
      },
      zhuanzhang(){
          if(document.cookie){
              this.$router.push({name:'CSRF1',query:{from:'A',amount:'8888',to:'B'}})
          }else{
              window.alert('请先登录')
          }
      }
      
  },
};
</script>

CSRF1.vue:

<template>
  <div>
    {{obj.from+'转了'+obj.amount+'给'+obj.to}}
  </div>
</template>

<script>
import axios from 'axios'
export default {
  data() {
    return {
      obj:{}
    };
  },
  methods: {
      
  },
  mounted() {
      let obj = this.$route.query;
      this.obj = this.$route.query;
      console.log(obj)
      if(document.cookie){
          console.log(obj.from+'转了'+obj.amount+'给'+obj.to)
          axios.get('http://localhost:8080/transfer?from='+obj.from+'amount='+obj.amount+'to='+obj.to)
      }
  },
};
</script>

第三方攻击网站 原生html


    <button id="bad">抽奖</button>
    <script src="./jquery.min.js"></script>
    <script>
        $('#bad').click(function(){
            window.open('http://localhost:8080/CSRF1?from=A&amount=8888&to=C')
        })
    </script>

如何防御

  • 验证码:强制用户必须与应用进行交互,才能完成最终请求。此种方式能很好的遏制 CSRF,但是用户体验相对差。

  • 尽量使用 post ,但是 post 也并不是万无一失,攻击者只需要构造一个form就可以。

  • Referer check:请求来源限制,此种方法成本最低,但是并不能保证 100% 有效,因为服务器并不是什么时候都能取到 Referer,而且低版本的浏览器存在伪造 Referer 的风险。

  • token:token 验证的 CSRF 防御机制是公认最合适的方案。

    服务器下发一个随机 Token(算法不能复杂),每次发起请求时将 Token 携带上,服务器验证 Token 是否有效。

3、CSRF 与 XSS 区别

通常来说 CSRF 是由 XSS 实现的,CSRF 时常也被称为 XSRF(CSRF 实现的方式还可以是直接通过命令行发起请求等)。

  • XSS 是代码注入问题,CSRF 是 HTTP 问题。
  • XSS 是内容没有过滤导致浏览器将攻击者的输入当代码执行。CSRF 则是因为浏览器在发送 HTTP 请求时候自动带上 cookie,而一般网站的 session 都存在 cookie里面。
    问题。
  • XSS 是内容没有过滤导致浏览器将攻击者的输入当代码执行。CSRF 则是因为浏览器在发送 HTTP 请求时候自动带上 cookie,而一般网站的 session 都存在 cookie里面。
  • XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
原莱_
关注
专栏目录
csrf漏洞原理及防御
javagty6778的博客
01-09 245
从上图可以看,要完成一次CSRF攻击,受害者必须依次完成两个步骤1.登录受信任网站A,并在本地生成Cookie2.在不登A的情况下,访问危险网站B。
2024年Web安全XSSCSRF以及如何防范
最新发布
2401_84264630的博客
05-02 67
CSRF, 即Cross-site request forgery)中译是跨站请求伪造;CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
axios源码fotify扫描 xss 漏洞修复
qq_40472157的博客
05-26 623
axios源码fotify扫描 xss 漏洞修复。
Axios 请求拦截器中进行 XSS 过滤
weixin_43507141的博客
03-21 812
xss
express+axios 配置csrf
weixin_40863414的博客
03-04 582
自己用express和axios来配置csrf时候的坑&amp;amp;总结。 文章地址: express+axios 配置csrf
记一次关于axios的坑
m0_56342455的博客
03-22 410
前端 aixos
使用axios文件上传中的坑
syj21408的博客
04-30 401
我遇到的坑,axios版本问题 以前的项目写过文件上传就将代码复制了过来,然后两个项目的axios版本不一样,0.21.1和0.27.1 export function avatar(form) { let headers = { 'Content-Type': 'multipart/form-data' } return request({ url: '/user/profile/avatar', method: 'post',
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议负责网络中的路由和寻址,而TCP协议则...同时,掌握跨域、XSSCSRF防范策略,是保障Web应用程序安全的基础。在实际开发中,应根据应用场景选择合适的连接方式,并严格实施安全措施,保护用户数据和系统安全
安全防范 XSSCSRF、SSRF
Yweivvv的博客
04-01 1068
XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。 XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击 CSRF 中文名为跨站请求伪造。原理就是攻击者构造一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用...
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
axios的拦截请求与响应方法
10-18
今天小编就为大家分享一篇axios的拦截请求与响应方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4935
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
一文读懂Axios核心源码思想
油墨香^-^的博客
02-22 262
Axios 的适配器原理是什么?Axios 是如何实现请求和响应拦截的?Axios 取消请求的实现原理?CSRF 的原理是什么?Axios 是如何防范客户端 CSRF 攻击?请求和响应数据转换是怎么实现的?这里的实际请求是对适配器的封装,请求和响应数据的转换都在这里完成。那么数据转换是如何实现的呢?
axios拦截器
前端开发-陈善强
11-29 214
目录 1、请求拦截器 2、响应拦截器 1、请求拦截器 1.1 在请求发之前设置一些信息 格式: aixos.interceptors.request.use(function(config){ //在请求发之前进行一些设置 return config; },function(err){ //处理响应的错...
网络安全-记录web漏洞修复
孙霸天的专栏
07-05 4236
最近政府部门都在组织网络系统安全检测,我们公司开发的某一个系统前端也被检漏洞,需要解决一下前端使用vue框架开发,使用nginx进行部署如图所示总共被扫描了八个漏洞,其中两个中度危险可能造成用户信息被窃取,攻击者可以构造其他站点,通过跨域资源访问的形式,读取用户在本站点上的任意信息;攻击者可以通过一连串的跨域资源访问请求,伪造用户的身份私自操作本站点的内容。漏洞未修复前,请求响应如下这里是由于我nginx配置了允许跨域请求,默认nginx是不允许错误配置如下 修改配置如下 修改后如下这是因为我们在vu
Vue-axios(二)
未来的博客
05-06 157
1、axios是什么? axios是一个基于Promise 用于浏览器和 nodejs 的 HTTP 客户端,具有以下特点: 从浏览器中创建XMLHttpRequest 。 从 node.js 发http请求。 支持 Promise API。 拦截请求和响应。 转换请求和响应数据。 取消http请求。 自动转换JSON数据。 客户端支持防止 CSRF/XSRF(跨站请求伪造)。   看到这里发现axios的作用是不是和Ajax很相似。 简单说一一下他们两个的区别,下面会举例说明。  区别:axios
ReDoS漏洞的原理、示例与应对
INSBUG的博客
03-26 1359
上述逻辑中,由于用户名和口令是由用户输,且用户名被当作正则表示编译和匹配,那么假如攻击者输入的用户名是^(([a-z])+.)+[A-Z]([a-z])+$,口令是aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa,会导致该程序的匹配次数飙升,从而造成CPU占用率的上升。然后,从每个圆圈延伸来的细箭头上的数字表示每个输入,箭头指向的方向是与该输入相对应的转换目标的状态(本例中输入是0和1)。比如下图中的匹配时间对比。
axios详解
Q_Qshine的博客
04-14 1380
axios是一个基于Promise的HTTP客户端,用于浏览器和Node.js中发送HTTP请求。它可以在浏览器中使用XMLHttpRequest对象或者在Node.js中使用http模块发送请求。axios具有以下特点:1. 支持Promise API:可以使用async/await或者.then/.catch来处理异步请求。2. 支持拦截器:可以在请求或响应被发送或接收之前进行拦截和修改。3. 支持取消请求:可以取消未完成的请求。4. 支持CSRF防御:可以轻松地集成CSRF防御机制。
前端常见问题 及 axios请求数据
tianhuiman的博客
06-21 738
1.怎样 防止 XSSCSRF ? (1)前端过滤 (2)后台转义(<> &lt ; &gt ; ) (3)给cookie加上属性http 2.vue怎样解绑事件? @click=“isActive && handleEvent()”,默认isActive为true,解绑事件,改成false就行。 3.事件处理器中,可以写成@click="han...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值